通常来看，企业的安全风险多是由于企业在操作系统或是应用系统等几个方面存在补丁、漏洞等薄弱环节，容易遭受黑客或是内部未授权员工的威胁，从而导致不可估量的影响。

　　在早些时候发布的2008年“信息安全白皮书” 中显示，44.4%的企业遭遇了“网络瘫痪”的尴尬，还有32.8%的企业承认自己“包括电子邮件系统在内的业务应用系统也一度瘫痪”。半数以上的客户的损失在10万元人民以上，约有一成半的企业因为信息安全攻击而造成了10万~50万不等的经济损失。而2008年《信息周刊》“中国商业科技100强”调研揭示了类似的结果（见右下表格）。由此来看，风险管理是一个不容小觑的问题。因此CIO和企业自身必须能够识别风险及用于防御这些风险的控制。

　　湖北汉江水利水电集团有限责任公司信息中心副主任王小牛表示，虽然企业没有遭遇过大的攻击，但是对病毒的防范也不敢掉以轻心。除了采用常规的防毒方式，如安装防火墙，进行访问控制等。他还针对带宽做出了限制，对于不同权限的员工，限制上下行流量，尽可能避免不安全的非法内容自动下载，确保局域网有限的带宽资源不会被占用。此外，在做好数据库等关键应用系统备份的同时，也要对核心的交换设备以及防火墙等安全设备积极备份，确份网络畅通，系统稳定运行。

　　由于威胁的手段越来越多样化，系统也越来越复杂，中信建投证券有限公司信息技术部执行总经理宋群力认为，制定总体信息安全战略、业务持续及灾难恢复战略和计划对企业来说至关重要。同时，信息现在呈现出分散和移动的特点，控制好人为安全操作风险，以免小问题产生大影响的要求更为急迫。还有一个值得重视的问题，就是避免不当地升级给企业带来损失，运营和测试团队要尽可能隔离，每一个安全措施都要设立严格的流程。

　　安永会计师事务所上海分所科技与信息安全咨询服务部合伙人阮祺康表示，总的来看，不少企业的安全的控制体系还很薄弱和缺乏，要推广安全监控体系，必须考虑5个“是否”，是否能配合业务的发展；是否能满足法律与法规的要求；是否考虑到在业务流程上的应用；是否有一套有效的IT运营体系来支持；人员对安全的意识是否足够。只有从各个方面着手防御风险，才有可能做到防患于未然。